Η υποστηριζόμενη από τη Ρωσία ομάδα πίσω από τη διαβόητη επίθεση SolarWinds στοχεύει «έναν εκπληκτικό αριθμό» ξένων διπλωματών που εργάζονται σε πρεσβείες στην Ουκρανία με δέλεαρ που είναι λίγο πιο προσωπικά από το παραδοσιακό πολιτικό κόμιστρο που χρησιμοποιείται συνήθως για να τους δελεάσει να κάνουν κλικ σε κακόβουλους συνδέσμους.
Ερευνητές από τη Μονάδα 42 του Palo Alto Networks παρατήρησαν την ομάδα — την οποία παρακολουθούν ως Καλυμμένη Ursa αλλά το οποίο είναι περισσότερο γνωστό ως Nobelium/APT29 — ένα όχημα για να κυκλοφορείτε.
Το αρχικό δέλεαρ στην εκστρατεία φάνηκε να χρησιμοποιεί ένα νόμιμο φυλλάδιο για την πώληση ενός μεταχειρισμένου σεντάν BMW στο Κίεβο που διαδόθηκε σε διάφορες πρεσβείες από διπλωμάτη του Πολωνικού Υπουργείου Εξωτερικών. Αν και φαίνεται αρκετά αθώο, η πώληση ενός αξιόπιστου αυτοκινήτου από έναν αξιόπιστο διπλωμάτη - ειδικά σε μια κατεστραμμένη από τον πόλεμο περιοχή όπως η Ουκρανία - θα μπορούσε σίγουρα να τραβήξει την προσοχή μιας νέας άφιξης στη σκηνή, σημείωσαν οι ερευνητές.
Αυτό είναι κάτι που το Cloaked Ursa χρησιμοποίησε ως ευκαιρία, επαναχρησιμοποιώντας το φυλλάδιο για να δημιουργήσει το δικό του παράνομο, το οποίο η ομάδα έστειλε σε πολλές διπλωματικές αποστολές δύο εβδομάδες αργότερα ως δόλωμα στην εκστρατεία κακόβουλου λογισμικού. Η ομάδα συμπεριέλαβε στο μήνυμα έναν κακόβουλο σύνδεσμο, λέγοντας ότι οι στόχοι μπορούν να βρουν περισσότερες φωτογραφίες του αυτοκινήτου εκεί. Τα θύματα βρίσκουν περισσότερα από φωτογραφίες εάν κάνουν κλικ στον σύνδεσμο, ο οποίος εκτελεί κακόβουλο λογισμικό σιωπηλά στο παρασκήνιο ενώ η επιλεγμένη εικόνα εμφανίζεται στην οθόνη του θύματος.
Το ωφέλιμο φορτίο της καμπάνιας είναι ένα κακόβουλο λογισμικό που βασίζεται σε JavaScript που δίνει στους εισβολείς μια κερκόπορτα έτοιμη για κατασκοπεία στο σύστημα του θύματος και τη δυνατότητα φόρτωσης περαιτέρω κακόβουλου κώδικα μέσω μιας σύνδεσης εντολής και ελέγχου (C2).
Η προηγμένη επίμονη απειλή (APT) έδειξε προσχεδιασμό για τη δημιουργία της λίστας στόχων της, χρησιμοποιώντας δημόσια διαθέσιμες διευθύνσεις email της πρεσβείας για περίπου το 80% των στοχευόμενων θυμάτων και μη δημοσιευμένες διευθύνσεις email που δεν βρέθηκαν στον επιφανειακό Ιστό για το υπόλοιπο 20%. Αυτό ήταν πιθανό «να μεγιστοποιήσει την πρόσβασή τους στα επιθυμητά δίκτυα», σύμφωνα με την Ενότητα 42.
Οι ερευνητές παρατήρησαν το Cloaked Ursa να ασκεί την εκστρατεία εναντίον 22 από τις 80 ξένες αποστολές στην Ουκρανία, αλλά ο πραγματικός αριθμός στόχων είναι πιθανότατα υψηλότερος, είπαν.
"Αυτό είναι εκπληκτικό σε εύρος για ό,τι γενικά είναι στενής εμβέλειας και μυστικές επιχειρήσεις APT", σύμφωνα με την Ενότητα 42.
Αλλαγή στις τακτικές κυβερνοχώρου κακόβουλου λογισμικού
Είναι ένας στρατηγικός άξονας από τη χρήση θεμάτων που σχετίζονται με τη δουλειά τους ως δόλωμα, αποκάλυψαν οι ερευνητές ένα blog post δημοσιεύτηκε αυτήν την εβδομάδα.
«Αυτά τα αντισυμβατικά θέλγητρα έχουν σχεδιαστεί για να δελεάσουν τον παραλήπτη να ανοίξει ένα συνημμένο με βάση τις δικές του ανάγκες και επιθυμίες αντί να αποτελούν μέρος των καθηκόντων ρουτίνας του», έγραψαν οι ερευνητές.
Αυτή η αλλαγή στις τακτικές δελεασμού θα μπορούσε να είναι μια κίνηση για την αύξηση του παράγοντα επιτυχίας της εκστρατείας όχι μόνο για να θέσει σε κίνδυνο τον αρχικό στόχο αλλά και άλλους εντός του ίδιου οργανισμού, επεκτείνοντας έτσι την εμβέλειά του, πρότειναν οι ερευνητές.
«Τα δολώματα είναι ευρέως εφαρμόσιμα σε όλη τη διπλωματική κοινότητα, και έτσι μπορούν να σταλούν και να προωθηθούν σε μεγαλύτερο αριθμό στόχων», έγραψαν στην ανάρτηση. «Είναι επίσης πιο πιθανό να προωθηθούν σε άλλους εντός ενός οργανισμού, καθώς και εντός της διπλωματικής κοινότητας».
Το Cloaked Ursa/Nobelium/APT29, είναι μια κρατική ομάδα που σχετίζεται με την Υπηρεσία Εξωτερικών Πληροφοριών της Ρωσίας (SVR), είναι ίσως περισσότερο γνωστή για την Η επίθεση SolarWinds, η οποία ξεκίνησε με μια κερκόπορτα που ανακαλύφθηκε τον Δεκέμβριο του 2020 και εξαπλώθηκε σε περίπου 18,000 οργανισμούς μέσω μολυσμένων ενημερώσεων λογισμικού — και εξακολουθεί να έχει αντίκτυπο σε ολόκληρη την αλυσίδα εφοδιασμού λογισμικού.
Η ομάδα παρέμεινε σταθερά ενεργή από τότε, συγκεντρώνοντας μια σειρά από επιθέσεις που ευθυγραμμίζονται με τη συνολική γεωπολιτική στάση της Ρωσίας κατά διάφορα υπουργεία εξωτερικών και διπλωμάτεςκαι η κυβέρνηση των ΗΠΑ. Ένας κοινός παρονομαστής στα περιστατικά είναι α πολυπλοκότητα τόσο στις τακτικές όσο και στην ανάπτυξη προσαρμοσμένου κακόβουλου λογισμικού.
Η ενότητα 42 σημείωσε ομοιότητες με άλλες γνωστές καμπάνιες από το Cloaked Ursa, συμπεριλαμβανομένων των στόχων της επίθεσης, και την επικάλυψη κώδικα με άλλο γνωστό κακόβουλο λογισμικό από την ομάδα.
Μετριασμός των Κυβερνοεπιθέσεων APT στην Κοινωνία των Πολιτών
Οι ερευνητές πρόσφεραν μερικές συμβουλές σε άτομα σε διπλωματικές αποστολές για να αποφύγουν να πέσουν θύματα εξελιγμένων και έξυπνων επιθέσεων από APT όπως το Cloaked Ursa. Το ένα είναι ότι οι διαχειριστές εκπαιδεύουν πρόσφατα διορισμένους διπλωμάτες σχετικά με τις απειλές για την ασφάλεια στον κυβερνοχώρο για την περιοχή πριν από την άφιξή τους.
Οι δημόσιοι ή εταιρικοί υπάλληλοι γενικά θα πρέπει πάντα να είναι προσεκτικοί με λήψεις, ακόμη και από φαινομενικά αβλαβείς ή νόμιμους ιστότοπους, καθώς και να λαμβάνουν πρόσθετες προφυλάξεις για να τηρούν την ανακατεύθυνση διευθύνσεων URL όταν χρησιμοποιούν υπηρεσίες συντόμευσης διευθύνσεων URL, καθώς αυτό μπορεί να είναι χαρακτηριστικό γνώρισμα επίθεσης phishing.
Οι άνθρωποι θα πρέπει επίσης να δίνουν μεγάλη προσοχή στα συνημμένα email για να αποφύγουν να πέσουν θύμα phishing, είπαν οι ερευνητές. Θα πρέπει να επαληθεύουν τους τύπους επεκτάσεων αρχείων για να διασφαλίσουν ότι το αρχείο που ανοίγουν είναι αυτό που θέλουν, αποφεύγοντας αρχεία με επεκτάσεις που δεν ταιριάζουν ή επιχειρούν να θολώσουν τη φύση του αρχείου.
Τέλος, οι ερευνητές πρότειναν στους διπλωματικούς υπαλλήλους να απενεργοποιούν κατά κανόνα το JavaScript, κάτι που θα καθιστούσε ανίκανο να εκτελεστεί οποιοδήποτε κακόβουλο λογισμικό που βασίζεται στη γλώσσα προγραμματισμού.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats
- :έχει
- :είναι
- :δεν
- 000
- 2020
- 22
- 7
- 80
- a
- ικανότητα
- Ικανός
- Σχετικα
- πρόσβαση
- Σύμφωνα με
- απέναντι
- ενεργός
- πραγματικός
- διευθύνσεις
- διαχειριστές
- προηγμένες
- συμβουλές
- Υποθέσεων
- κατά
- ευθυγράμμιση
- Επίσης
- πάντοτε
- an
- και
- κάθε
- Εμφανίστηκε
- εφαρμόσιμος
- APT
- ΕΙΝΑΙ
- ΠΕΡΙΟΧΗ
- γύρω
- άφιξη
- AS
- ανατεθεί
- συσχετισμένη
- At
- επίθεση
- Επιθέσεις
- προσοχή
- διαθέσιμος
- αποφύγετε
- αποφεύγοντας
- κερκόπορτα
- φόντο
- δόλωμα
- βασίζονται
- BE
- πίσω
- είναι
- ΚΑΛΎΤΕΡΟΣ
- Καλύτερα
- Κομμάτι
- Μπλοκ
- BMW
- και οι δύο
- γενικά
- αλλά
- by
- Εκστρατεία
- Καμπάνιες
- CAN
- αυτοκίνητο
- προσεκτικός
- αλυσίδα
- αλλαγή
- κλικ
- Κλεισιμο
- κωδικός
- Κοινός
- κοινότητα
- συμβιβασμός
- σύνδεση
- Εταιρικές εκδηλώσεις
- θα μπορούσε να
- δημιουργία
- έθιμο
- στον κυβερνοχώρο
- cyberattacks
- Κυβερνασφάλεια
- Δεκέμβριος
- οπωσδηποτε
- σχεδιασμένα
- επιθυμητή
- διπλωμάτες
- ανακάλυψαν
- οθόνες
- Don
- λήψεις
- σχεδιάζω
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- υπαλλήλους
- εξασφαλίζω
- ειδικά
- Even
- εκτελέσει
- Εκτελεί
- επέκταση
- επέκταση
- επεκτάσεις
- επιπλέον
- παράγοντας
- αρκετά
- Πτώση
- Αρχεία
- Αρχεία
- Εύρεση
- Για
- ξένος
- Βρέθηκαν
- από
- περαιτέρω
- General
- γενικά
- παράγουν
- γεωπολιτικό
- παίρνω
- δίνει
- Κυβέρνηση
- μεγαλύτερη
- Group
- που έχει
- υψηλότερο
- HTTPS
- if
- εικόνα
- Επίπτωση
- in
- περιλαμβάνονται
- Συμπεριλαμβανομένου
- Αυξάνουν
- κακόφημος
- αρχικός
- αθώος
- μέσα
- αντί
- Νοημοσύνη
- σε
- IT
- ΤΟΥ
- το JavaScript
- Θέσεις εργασίας
- jpg
- μόλις
- γνωστός
- Γλώσσα
- αργότερα
- νόμιμος
- Μου αρέσει
- Πιθανός
- LINK
- ΣΥΝΔΕΣΜΟΙ
- Λιστα
- φορτίο
- malware
- Ταίριασμα
- ύλη
- Αυξάνω στον ανώτατο βαθμό
- μήνυμα
- υπουργείο
- αποστολές
- περισσότερο
- μετακινήσετε
- πολλαπλούς
- Φύση
- ανάγκες
- δίκτυα
- Νέα
- πρόσφατα
- Κανονικά
- Σημειώνεται
- αριθμός
- παρατηρούμε
- of
- προσφέρονται
- on
- ONE
- αποκλειστικά
- ανοίξτε
- άνοιγμα
- λειτουργίες
- Ευκαιρία
- or
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- Άλλα
- φόρμες
- δική
- Palo Alto
- μέρος
- Πληρωμή
- People
- ίσως
- προσωπικός
- Phishing
- επίθεση phishing
- Φωτογραφίες
- άξονας περιστροφής
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Πολωνικά
- πολιτικός
- Θέση
- Πριν
- Προγραμματισμός
- δημοσίως
- δημοσιεύθηκε
- φθάσουν
- περιοχή
- σχετίζεται με
- αξιόπιστος
- παρέμεινε
- ερευνητές
- Αποκαλυφθε'ντα
- Άρθρο
- Russia
- s
- Είπε
- πώληση
- ίδιο
- ρητό
- σκηνή
- έκταση
- Οθόνη
- φαινομενικώς
- φαίνεται
- επιλέγονται
- αποστέλλονται
- Σειρές
- υπηρεσία
- Υπηρεσίες
- θα πρέπει να
- έδειξε
- ομοιότητες
- αφού
- Sites
- λογισμικό
- SolarWinds
- μερικοί
- κάτι
- εξελιγμένα
- διάδοση
- ξεκίνησε
- Ακόμη
- Στρατηγική
- θέμα
- επιτυχία
- προμήθεια
- αλυσίδας εφοδιασμού
- Επιφάνεια
- σύστημα
- τακτική
- Πάρτε
- στόχος
- στοχευμένες
- στόχευση
- στόχους
- από
- ότι
- Η
- τους
- Τους
- τους
- τότε
- Εκεί.
- Αυτοί
- αυτοί
- αυτό
- αυτή την εβδομάδα
- απειλή
- απειλές
- Μέσω
- προς την
- τροχιά
- παραδοσιακός
- Τρένο
- Έμπιστος
- δύο
- τύποι
- Ukraine
- ανίκανος
- πρωτότυπος
- μονάδα
- ενημερώσεις
- URL
- us
- μας κυβέρνηση
- χρήση
- μεταχειρισμένος
- χρησιμοποιώντας
- διάφορα
- όχημα
- επαληθεύει
- μέσω
- Θύμα
- θύματα
- θέλω
- θέλει
- ήταν
- ιστός
- εβδομάδα
- Εβδ.
- ΛΟΙΠΌΝ
- Τι
- πότε
- Ποιό
- ενώ
- με
- εντός
- εργαζόμενος
- θα
- Έγραψε
- zephyrnet